Fokus auf Cloud Services und Sicherheit

Sichere Navigation in der Cloud

Seite: 3/5

Aufbau und Pflege der richtigen Protokolle

Jeder IT-Fachmann weiß um die Bedeutung der drei Grundwerte für Datensicherheit: „Authentifizierung“, „Autorisierung“ und „Zurechenbarkeit“. Die IT- und Compliance-Teams in den Unternehmen betreiben einen hohen Aufwand, um sicherzustellen, dass alle im Unternehmen Daten geschützt sind, indem diese Grundwerte eingehalten werden. Auch in ihren Geschäftsbeziehungen setzen Unternehmen alles daran, dass der Datenzugriff durch Dritte sicher ist.

Authentifizierung, Autorisierung und Zurechenbarkeit sind auch bei der Wahl des Cloud-Anbieters von besonderer Bedeutung. Denn der Anbieter stellt Hardware, Software und Daten schließlich in einer virtuellen Umgebung bereit. Die genannten Grundwerte müssen die Basis für jedes Bereitstellungsmodell bilden.

An dem externen Standort, an dem die Daten tatsächlich gespeichert sind, sollten die Mitarbeiter mit Transponderkarten ausgestattet sein und sich damit bei Betreten des Standorts ausweisen müssen (=Authentifizierung). Das Sicherheitspersonal sollte rund um die Uhr vor Ort sein und den Zugang über strenge Sicherheitssysteme überwachen. Benutzer sollten sich auf Netzwerk- und auf Systemebene anmelden müssen (=Autorisierung).

Die Zurechenbarkeit sollte über die standardmäßigen Ereignisprotokolle des Betriebssystems nachvollziehbar sein, die wiederum sorgfältig gewartet und überwacht werden müssen. Integritäts- und Leistungskennziffern jedes Systems sollten über fortlaufende Benachrichtigungen überwacht werden. Netzwerke und Systeme sollten mit verschiedenen Firewalls geschützt werden. Hierzu zählen Systeme zur Unterbindung von Eindringversuchen, Systeme zur Vermeidung von Datendiebstählen und Firewalls für Webanwendungen.

Cloud Manager müssen gewährleisten, dass alle Systeme und Prozesse die maßgeblichen Standards erfüllen – beispielsweise SSAE-16 (SAS-70) und Sarbanes-Oxley. Sicherheits-Audits sollten regelmäßig durchgeführt werden, um zu gewährleisten, dass die Protokolle stets zwingend eingehalten werden.

Die Risiken durch Viren und Ausnutzung von Systemschwachstellen sollten über die sorgfältige Installation von stetigen Updates und Patches sowie Scans minimiert werden. Hier können Cloud-Anbieter handfeste Vorteile bieten, da sie über zahlreiche gut ausgebildete und wachsame Mitarbeiter verfügen.

Das Team von JDA Cloud Services beispielsweise hat allein im Jahr 2010 mehr als 136 Sicherheits-Patches implementiert – für Netzwerke, Betriebssysteme, Datenbanken und Middleware. Jedes Patch musste vor der Bereitstellung umfassend getestet und zertifiziert werden. Dies wäre auch für große Unternehmen, die ihre eigene IT-Infrastruktur verwalten, ein gewaltiger Kraftakt gewesen.

Selbstverständlich sollten Clouds ein hohes Maß an Redundanz und Verfügbarkeit bieten, um die Risiken längerer Serviceausfälle zu minimieren. Und falls es tatsächlich zu einem Ausfall kommt, müssen die volle Funktionalität und der uneingeschränkte Zugang schnellstens wiederhergestellt werden können.

Unternehmen mit einem großen Volumen an erfolgswichtigen Daten sollten in der Lage sein, individuelle SLAs zu vereinbaren, die ihnen einen schnellen Service und eine unverzügliche Datenwiederherstellung garantieren. Die Cloud-Anbieter sollten zudem ihre eigene Notfallbereitschaft fortlaufend testen, um sich selbst einschätzen und verbessern zu können.

(ID:35723090)